Hacer del ataque de fuerza bruta la única opción posible es una característica deseada de un sistema de seguridad.
Este "solo" significaría que no hay debilidades en el algoritmo o la implementación y que el sistema podría romperse solo al intentar todas las combinaciones de contraseñas posibles.
Además de asegurarse de que el ataque de fuerza bruta sea el único posible, también debería ser difícil de realizar.
En el caso de la base de datos de LastPass (un archivo cifrado, fuera de línea), las contramedidas son limitadas, pero tanto el diseño del sistema como el usuario tienen influencia sobre la efectividad de un ataque.
Primero: la base de datos está protegida con una clave derivada de una contraseña que usa PBKDF con un número específico de iteraciones, lo que aumenta el tiempo requerido para confirmar cada intento de conjetura.
Los usuarios deben establecer un número alto de iteraciones de PBKDF al punto en que puedan soportar el tiempo requerido para abrir la base de datos en sus dispositivos (esto puede variar para PC y dispositivos móviles).
Segundo: los usuarios deben usar contraseñas seguras para hacer que el ataque de fuerza bruta sea más difícil (posiblemente hasta el punto de la inviabilidad).
La autenticación de dos factores en LastPass no protege la base de datos de contraseñas, pero el acceso al servicio en línea que proporciona la base de datos de contraseñas del usuario cifrada.
Una vez que se descarga la base de datos, es un archivo cifrado estático y la autenticación de segundo factor no es necesaria para descifrarlo.